Go to main content
Oracle Solaris 11 移行の開発ガイド

印刷ビューの終了

更新: 2016 年 11 月
 
 

Oracle Solaris のセキュリティーおよび特権

Oracle Solaris は、ユーザーがファイルにアクセスする方法を制御し、システムデータベースおよびシステムリソースを保護する、ネットワーク全体のセキュリティーシステムを提供しています。ネットワーク処理、暗号化機能、ユーザー権利を管理するための Trusted Extensions などの複数のセキュリティーテクノロジが組み合わされています。

Oracle Solaris の主なセキュリティー関連機能のいくつかを次に示します。

準拠チェックおよびレポート

セキュリティーコンプライアンスのテストを管理するには、compliance コマンドを使用します。セキュリティーベンチマークおよびセキュリティーポリシーとも呼ばれるセキュリティー標準を使用して、Oracle Solaris システムのコンプライアンスを評価およびレポートできます。詳細は、Oracle Solaris 11.3 セキュリティーコンプライアンスガイドを参照してください。

検証済みブート

悪意を持って、または誤って変更されたクリティカルなブートおよびカーネルコンポーネントを取り込むリスクを軽減するマルウェア対策および整合性機能。この機能は、ファームウェア、ブートシステム、およびカーネルおよびカーネルモジュールの暗号化署名をチェックします。検証済みブートは、SPARC T5、SPARC M5、および SPARC M6 プラットフォームに適用されます。詳細は、Oracle Solaris 11.3 でのシステムおよび接続されたデバイスのセキュリティー保護 の ベリファイドブートの使用を参照してください。

IKEv2 のサポート

ピアシステム間の自動セキュリティーアソシエーション (SA) と鍵管理を提供します。

RBAC の時間ベースおよび場所ベースのアクセス

ユーザー属性を場所で修飾できます。usermod コマンドおよび rolemod コマンドの新しい修飾子オプションを使用すると、ユーザー属性を適用するシステムまたはネットグループを示すことができます。useradd コマンドの新しい access_times キーワードを使用すると、PAM サービスにアクセスするための新しい時間ベースのポリシーを指定できます。詳細は、usermod(1M)rolemod(1M)、および useradd(1M) のマニュアルページを参照してください。

Oracle Solaris Trusted Extensions

Oracle Solaris Trusted Extensions は、機密レベルに従ってデータおよびアプリケーションにラベル付けできる一連の高度なセキュリティー機能です。RBAC、強制アクセス制御のラベル付け、監査、およびデバイス割り当てを含むアクセス制御モデルが装備されています。これは、データセキュリティーポリシーをデータ所有者から分離できる、Oracle Solaris のセキュアなラベルテクノロジのオプションのレイヤーです。

Trusted Extensions は、ラベルにアクセスして処理できるアプリケーションを開発するための API を提供しています。Trusted Extensions API については、Trusted Extensions ユーザーズガイドを参照してください。

Oracle Solaris の認証サービス

認証は、ユーザーまたはサービスが定義済みの条件と一致するかどうかを検証するためのメカニズムです。

Oracle Solaris の認証サービスの主な機能は次のとおりです。

  • Secure RPC - Diffie-Hellman 認証メカニズムによってリモート手続きを保護します。

  • プラグイン可能認証モジュール - PAM モジュールを Oracle Solaris OS にインストールすることによって、新しい認証方式を追加、および認証ポリシーを変更できます。

  • Simple Authentication and Security Layer - ネットワークプロトコルに認証サービスおよびセキュリティーサービスを提供します。

  • Secure Shell - 暗号化ネットワークプロトコルを使用して、セキュアなデータ通信およびリモートのコマンド行からのログインを提供します。

プラグイン可能認証モジュール

プラグイン可能認証モジュール (PAM) は、システム管理者がシステムサービスを変更せずに新しい認証サービスを追加できる一連のプラグイン可能オブジェクトです。Oracle Solaris のユーザー認証、アカウント、セッション、およびパスワード管理の機能変更に使用できます。ログイン、ssh、およびその他のシステムエントリサービスは、PAM フレームワークを使用して、すべてのログインセッションがセキュリティー保護されていることを保証します。構成ファイルを柔軟に変更できることは、ユーザーにとって特に役立つ機能です。

PAM モジュールについては、Oracle Solaris 11 セキュリティーサービス開発ガイド の 第 3 章, PAM アプリケーションおよび PAM サービスの記述を参照してください。

PAM の RHEL 実装と Oracle Solaris 実装の相違点については、Red Hat Enterprise Linux から Oracle Solaris への移植ガイドプラグイン可能認証モジュールに関するセクションを参照してください。

Oracle Solaris 暗号化フレームワーク

Oracle Solaris 暗号化フレームワークは、カーネルレベルおよびユーザーレベルのコンシューマに一連の暗号化サービスを提供します。Oracle Solaris は、PAM、GSS-API、SASL、PKCS#11 などの業界標準のインタフェースに基づくネットワークセキュリティーを提供しています。暗号化フレームワークは、Oracle Solaris の暗号化サービスの主力になるものです。このフレームワークは、暗号化サービスのコンシューマおよびプロバイダに対応する標準の PKCS #11 インタフェースを提供します。

このフレームワークは 2 つの部分で構成されています。

  • ユーザーレベルのアプリケーションのためのユーザー暗号化フレームワーク

  • カーネルレベルモジュールのためのカーネル暗号化フレームワーク

Oracle Solaris 暗号化フレームワークの主な要素は次のとおりです。

  • libpkcs11.so ライブラリ - このフレームワークは、RSA Security Inc. PKCS#11 Cryptographic Token Interface (Cryptoki) 経由でのアクセスを提供します。アプリケーションは、libpkcs11.so ライブラリにリンクしている必要があります。

  • pkcs11_softtoken.so 共有オブジェクト - Oracle によって提供されているユーザーレベルの暗号化メカニズムが含まれています。

  • pkcs11_kernel.so 共有オブジェクト - カーネルレベルの暗号化メカニズムへのアクセスに使用します。これは、カーネルのサービスプロバイダインタフェースにプラグインされた暗号化サービスに PKCS #11 のユーザーインタフェースを提供します。

  • プラグイン可能インタフェース - プラグイン可能インタフェースは、Oracle およびサードパーティーの開発者が提供する、PKCS #11 暗号化サービスのためのサービスプロバイダインタフェース (SPI) です。プロバイダは、ハードウェアまたはソフトウェアを介して使用可能な暗号化サービスを使用して実装されるユーザーレベルのライブラリです。

  • スケジューラおよびロードバランサ - 暗号化要求の効率的な負荷分散およびディスパッチが可能になります。

  • カーネルプログラマインタフェース - カーネルレベルのコンシューマに暗号化サービスへのアクセスを提供します。

  • サービスプロバイダインタフェース - ハードウェアおよびソフトウェアに実装されているカーネルレベルの暗号化サービスのプロバイダによって使用されます。

  • ハードウェアおよびソフトウェアの暗号化プロバイダ - ソフトウェアアルゴリズム、ハードウェアアクセラレータボード、またはオンチップの暗号化機能を使用するカーネルレベルの暗号化サービス。

  • カーネル暗号化フレームワークデーモン - 暗号化操作のためのシステムリソースを管理するプライベートなデーモン。このデーモンも暗号化プロバイダを検証します。

  • モジュール検証ライブラリ - 暗号化フレームワークがインポートするすべてのバイナリの整合性と信頼性を検証するプライベートライブラリ。

  • elfsign - サードパーティーの暗号化サービスプロバイダが Oracle に証明書を要求するために提供されているユーティリティー。

  • cryptoadm - セキュリティーポリシーに応じた暗号化メカニズムの有効化および無効化など、暗号化サービスを管理するためのユーザーレベルのコマンド。

Oracle Solaris 暗号化フレームワークにプラグインできるアプリケーションのタイプは次の 4 つです。

  • ユーザーレベルのコンシューマ

  • ユーザーレベルのプロバイダ

  • カーネルレベルのコンシューマ

  • カーネルレベルのプロバイダ

Oracle Solaris 鍵管理フレームワークは、公開鍵インフラストラクチャー (PKI) オブジェクトを管理するツールおよびプログラミングインタフェースを提供しています。

UltraSPARC T1、UltraSPARC T2、および UltraSPARC T2+ のオンチップ暗号化アクセラレーションなどの Oracle Solaris サーバーのオンボードの暗号化によって、コプロセッサカードや電力消費の大きいアドオンのコンポーネントを追加せずに済みます。RHEL と Oracle Solaris で異なる関数呼び出しについては、Red Hat Enterprise Linux から Oracle Solaris への移植ガイドを参照してください。

Oracle Solaris 暗号化フレームワークの詳細は、Oracle Solaris 11 セキュリティーサービス開発ガイド の 第 9 章, ユーザーレベルの暗号化アプリケーションの記述を参照してください。

Copyright © 2015, 2016, Oracle and/or its affiliates. All rights reserved.  
前へ
次へ